【メモ】セキュリティ基礎用語集
はじめに
この用語集は、共通基礎トラックと技術専門トラックで出てくる主要語を、読み進めやすい粒度で整理したものです。
厳密な定義よりも、「研修文脈でどう理解すればよいか」を優先します。
共通基礎の用語
情報資産
会社にとって価値があり、守る必要がある情報や仕組み全体。
ファイルだけでなく、認証情報、設定、ログ、システムも含みうる。
機密性
見てよい人だけが見られる状態。
完全性
情報や設定が勝手に変わらず、正しい状態が保たれていること。
可用性
必要なときに必要な人が使えること。
誤送信
本来送るべきでない相手へメールやメッセージを送ってしまうこと。
誤共有
本来見せるべきでない範囲へファイルや情報を共有してしまうこと。
フィッシング
正規の連絡やサイトを装って、認証情報や金銭、操作をだまし取る行為。
技術専門の用語
認証
その人やシステムが誰かを確認すること。
認可
その人やシステムに何を許すかを決めること。
セッション
認証済み状態を継続して扱う仕組み。
SQLインジェクション
入力値が不適切にSQLへ入り込み、想定外のDB操作が起きる問題。
XSS
画面に表示する値の扱いが弱く、ブラウザ上で意図しないスクリプト実行が起きる問題。
CSRF
利用者が意図しない状態変更を、別画面や別サイト経由で行われる問題。
最小権限
必要な人やシステムに、必要な範囲だけ権限を与える考え方。
ハードニング
不要な機能や露出を減らし、想定した使い方だけに寄せること。
監査証跡
後から検証、説明できるように残す記録。
封じ込め
インシデント時に被害が広がらないよう、影響範囲を抑えること。
根絶
侵害や不具合の原因となっている要素を取り除くこと。
迷ったときの使い方
この用語集だけで理解を完結させるのではなく、本文へ戻って文脈で確認してください。
特に、認証と認可、隔離と封じ込め、機密性と完全性は混同しやすいポイントです。